Zwerg#8
Benutzer
Hallo!
Ich habe es leider erst vorgestern gesehen und bin derzeit dabei, über die Ursprungs-IPs (also über den Provider) in alten Mails den "Schuldigen" einzukreisen.
Am 30. Januar und am 1. Februar sind auf einem e-Mail-Account von mir zwei Mails eingetroffen. Beide Mails stammen aus dem IP-Bereich von Arcor. Wer also DSL bei Arcor (oder Reseller - das ist kompliziert) bestellt hat, unter Windows arbeitet und eine e-Mail Adresse von mir kennt, sollte dringend weiterlesen...
Bei der Einwahl ins Internet bekommt man von seinem Provider (Telekom, Arcor...) eigentlich immer eine IP aus dem "Pool" des Anbieters dynamisch zugewiesen. Die eigene IP ist nicht immer gleich, stammt aber oft aus einem relativ kleinen Teilbereich aus dem großen Pool des Providers. Je mehr Ziffern von linkks nach rechts übereinstimmen, um so näher sind wir dran...
Hier sind die Lottozahlen - ähm - die beiden IPs:
84.56.190.183
188.105.117.189
Wem jetzt etwas mulmig wird, der kann ja mal gucken, ob seine aktuelle IP ungefähr "in der Nähe" liegt. Das geht ganz einfach dort:
http://www.wieistmeineip.de/
Beide Mails wurden über WEB.de verschickt und gelangten ohne weitere Zwischenstationen direkt auf meinen Posteingangs-Server. Du hast (u.a. auch) einen Mail-Account bei WEB.de? Weiterlesen...
Eine der Mails enthielt im Anhang einen Trojaner. In eine dieser Mail schauen wir jetzt mal rein. Bei der anderen Mail handelt es sich auch auch um eine "Mahnung", an dieser Mail war aber "nichts" dran. Meinen echten bürgerlichen Namen habe ich hier im Zitat durch "realZwerg" ersetzt.
Man muß kein großer Kenner der Materie zu sein, um zu erkennen, daß an dieser "Mahnung" einiges faul ist. Grundsätzlich fehlt erstmal das vorgeschriebene Impressum bei geschäftichen Mails. Sowas macht man normalerweise mit einem "Footer". Dann tauchen auch gleich noch drei verschiedene Rechnungs/Bestellnummern auf und im Text wechselt man auch noch die Schreibweise der deutschen Umlaute. Sehr verdächtig.
"Im beigefügtem Dokument " (eine zip-Datei), findet sich nach dem Entpacken ein Trojaner. Siehe dazu das Bildchen unten. Hinweis: Ich habe die originale Dateieindung "COM" (ausführbares Programm) auf die "CDOM" geändert (womit Windows erstmal nichts anfangen kann), damit ich bei meinen Versuchen mit deaktivierten Virenscanner und einem versehentlichen "Doppelklick" mit der Maus keinen Schaden anrichten kann. Das hätte fatale Folgen...
Das war die Einstimmung auf das Thema.
Die wichtigste Frage muß aber noch gestellt und beantwortet werden: Wie kommt mein "richtiger Name" in das "Mahnschreiben" rein?
Dafür gibt es nur zwei Möglichkeiten:
1.) "Jemand" kennt alle Kontaktdaten von mir und trägt sie händisch in sein "Adressbuch" ein.
2.) Ich habe "Jemanden" irgendwann einmal eine e-Mail über diesen Account geschrieben und meine Mail und Daten landeten damit im "Posteingang" des e-Mail-Client des Empfängers. Dann hatten wir Mitte 2009 noch den Fall, daß meine e-Mail Adresse (samt Klarname) versehentlich im CC eines "Rundschreibens" gelandet ist.
Ich tendiere natürlich zu Punkt 2. Im Klartext bedeutet das, daß mindestens neun Forenuser diese e-Mail Adresse von mir kennen. Das sind praktisch 75% aller e-Mail Adressen, die seit 2009 überhaupt im Posteingang/Ausgang dieses Mailaccounts eingetrudelt sind.
Also bitte mal abchecken, ob ihr als "Virenschleuder" in Frage kommt.
Letzter Anhaltspunkt wäre noch das Mailprogramm, über das die beiden Mails verschickt wurden. Diese Angabe kann aber vom Trojaner selbst gefaked werden. Insofern ist das nicht so wichtig:
Microsoft Outlook Express 6.00.2800.1106
Grüßle
Ich habe es leider erst vorgestern gesehen und bin derzeit dabei, über die Ursprungs-IPs (also über den Provider) in alten Mails den "Schuldigen" einzukreisen.
Am 30. Januar und am 1. Februar sind auf einem e-Mail-Account von mir zwei Mails eingetroffen. Beide Mails stammen aus dem IP-Bereich von Arcor. Wer also DSL bei Arcor (oder Reseller - das ist kompliziert) bestellt hat, unter Windows arbeitet und eine e-Mail Adresse von mir kennt, sollte dringend weiterlesen...
Bei der Einwahl ins Internet bekommt man von seinem Provider (Telekom, Arcor...) eigentlich immer eine IP aus dem "Pool" des Anbieters dynamisch zugewiesen. Die eigene IP ist nicht immer gleich, stammt aber oft aus einem relativ kleinen Teilbereich aus dem großen Pool des Providers. Je mehr Ziffern von linkks nach rechts übereinstimmen, um so näher sind wir dran...
Hier sind die Lottozahlen - ähm - die beiden IPs:
84.56.190.183
188.105.117.189
Wem jetzt etwas mulmig wird, der kann ja mal gucken, ob seine aktuelle IP ungefähr "in der Nähe" liegt. Das geht ganz einfach dort:
http://www.wieistmeineip.de/
Beide Mails wurden über WEB.de verschickt und gelangten ohne weitere Zwischenstationen direkt auf meinen Posteingangs-Server. Du hast (u.a. auch) einen Mail-Account bei WEB.de? Weiterlesen...
Eine der Mails enthielt im Anhang einen Trojaner. In eine dieser Mail schauen wir jetzt mal rein. Bei der anderen Mail handelt es sich auch auch um eine "Mahnung", an dieser Mail war aber "nichts" dran. Meinen echten bürgerlichen Namen habe ich hier im Zitat durch "realZwerg" ersetzt.
Betreff: 01.02.2013 realZwerg Abmahnung Bestellung ID24240907442
Sehr geehrte/r realZwerg,
Sie haben auf unsere schriftliche Zahlungserinnerung vom 01.01.2013 nicht reagiert, so dass der nicht beglichene Betrag aus Ihrer Rechnung 39800106 vom 23.12.2012 von Ihnen noch nicht beglichen wurde.
Die Bestell-Nummer: 223451852040 bei www.cunda.de 591,50 Euro
Empfänger: realZwerg
Wir geben Ihnen Möglichkeit die Summe inklusive der Gebühren für die Rücklastschrift bis zum 07.02.2013 an uns zu überweisen. Im anderen Fall sehen wir uns gezwungen, ein Inkassoverfahren in die Wege zu leiten.Bitte ersparen Sie sich weitere Probleme und Kosten und zahlen Sie umgehend die beigefügte Rechnung.
Im beigefügtem Dokument sehen Sie Ihre Mahnung und weitere Einzelheiten Ihrer Bestellung.
Bei Rückfragen können Sie sich an unsere Kunden Hotline unter 0900-57 416 8796 (1,59 Euro/Min dt. Festnetz) wenden.
Information über Ihr 14-taegiges Rueckgaberecht:
Sie können Ihre Bestellung innerhalb von 14 Tagen nach Erhalt der Lieferung ohne Begründung an die in der Rechnung genannte Adresse zurücksenden. Zur Fristwahrung genügt die rechtzeitige Absendung.
Wir danken Ihnen für Ihr Vertrauen.
Ihr Kundenservice-Online
S...... S...... <--- (Name von mir sicherheitshalber radiert)
Man muß kein großer Kenner der Materie zu sein, um zu erkennen, daß an dieser "Mahnung" einiges faul ist. Grundsätzlich fehlt erstmal das vorgeschriebene Impressum bei geschäftichen Mails. Sowas macht man normalerweise mit einem "Footer". Dann tauchen auch gleich noch drei verschiedene Rechnungs/Bestellnummern auf und im Text wechselt man auch noch die Schreibweise der deutschen Umlaute. Sehr verdächtig.
"Im beigefügtem Dokument " (eine zip-Datei), findet sich nach dem Entpacken ein Trojaner. Siehe dazu das Bildchen unten. Hinweis: Ich habe die originale Dateieindung "COM" (ausführbares Programm) auf die "CDOM" geändert (womit Windows erstmal nichts anfangen kann), damit ich bei meinen Versuchen mit deaktivierten Virenscanner und einem versehentlichen "Doppelklick" mit der Maus keinen Schaden anrichten kann. Das hätte fatale Folgen...
Das war die Einstimmung auf das Thema.
Die wichtigste Frage muß aber noch gestellt und beantwortet werden: Wie kommt mein "richtiger Name" in das "Mahnschreiben" rein?
Dafür gibt es nur zwei Möglichkeiten:
1.) "Jemand" kennt alle Kontaktdaten von mir und trägt sie händisch in sein "Adressbuch" ein.
2.) Ich habe "Jemanden" irgendwann einmal eine e-Mail über diesen Account geschrieben und meine Mail und Daten landeten damit im "Posteingang" des e-Mail-Client des Empfängers. Dann hatten wir Mitte 2009 noch den Fall, daß meine e-Mail Adresse (samt Klarname) versehentlich im CC eines "Rundschreibens" gelandet ist.
Ich tendiere natürlich zu Punkt 2. Im Klartext bedeutet das, daß mindestens neun Forenuser diese e-Mail Adresse von mir kennen. Das sind praktisch 75% aller e-Mail Adressen, die seit 2009 überhaupt im Posteingang/Ausgang dieses Mailaccounts eingetrudelt sind.
Also bitte mal abchecken, ob ihr als "Virenschleuder" in Frage kommt.
Letzter Anhaltspunkt wäre noch das Mailprogramm, über das die beiden Mails verschickt wurden. Diese Angabe kann aber vom Trojaner selbst gefaked werden. Insofern ist das nicht so wichtig:
Microsoft Outlook Express 6.00.2800.1106
Grüßle